Inzicht in het gebruik van algoritmen en controle op de juistheid van uitkomsten. Het is de rode draad in een interview met Sven Stevenson, programmadirecteur bij de directie Coördinatie Algoritmes van de Autoriteit Persoonsgegevens (AP).
In juli kwam de AP met haar eerste halfjaarlijkse rapportage met een totaaloverzicht van ontwikkelingen, risico’s en uitdagingen bij de inzet van algoritmes. Met als belangrijkste conclusie: het gebrekkige inzicht in bestaande algoritmes vormt op dit moment het belangrijkste risico én uitdaging. Het is de eerste analyse van de AP naar algoritmegebruik in Nederland. Het was dus best spannend hoe het rapport ontvangen zou worden. Als we Stevenson vragen naar de reacties op het rapport, moet hij meteen denken aan een bijeenkomst in augustus met start-ups die AI ontwerpen en grotere bedrijven die deze AI inkopen.
Onduidelijke normenkaders
“Veel van de daar aanwezige bedrijven herkenden onze zorgpunten, zeker wat betreft de onduidelijkheid van normenkaders. Daarmee hebben toezichthouders, publieke uitvoeringsorganisaties en het bedrijfsleven een gedeeld belang te pakken: maak duidelijke en vooral werkbare afspraken over hoe om te gaan met impact assessments, audits en transparantie bij het gebruik van algoritmes. Voor iedereen moet het uiteindelijk glashelder zijn wanneer een organisatie wel en niet compliant is aan de regels die we stellen aan algoritmes,” benadrukt Stevenson. “Het ontbreekt nu aan heldere standaarden. Daarom gaan we in volgende edities verder in op instrumenten en kaders om zo beter inzicht te geven in de belangrijkste elementen daarvan.”
Een eerste belangrijke stap
Gezien het gebrek aan heldere standaarden en normenkaders , hoe kijkt Stevenson aan tegen het door het Verbond ontwikkelde Ethisch kader? Individuele kaders beoordelen doet de AP niet, “maar het is duidelijk dat kaders zoals deze momenteel van groot belang zijn om binnen sectoren scherp te krijgen wat de ethische inzet van algoritmes impliceert en wat de normen zijn die je wilt nastreven.” Het is wat Stevenson betreft een eerste stap waarbij hij ervanuit gaat dat verzekeraars ook wel weten dat alleen het vaststellen en committeren aan normen niet voldoende is. Volgens hem gaat het om het totaalplaatje: “Welk plan volgt een organisatie om aan de normen te voldoen? Welke acties worden uitgevoerd om te waarborgen dat de compliance structureel is? Verstaan we allemaal hetzelfde onder de normen? Wie bepaalt of aan de normen is voldaan? En wat zijn de consequenties van het niet voldoen aan de normen? Kortom: Een ethisch kader schept verwachtingen maar “the proof of the pudding is in the eating.”
Stevenson is ervan overtuigd dat hoe meer verzekeraars het lukt om transparant te zijn over hoe zij toewerken naar compliance vanuit een ethisch kader, hoe meer dat zorgt voor vertrouwen van klanten in algoritmische processen en AI-toepassingen. “Dit dient niet alleen het maatschappelijk belang, maar ook het belang van verzekeraars. Zeker als je je realiseert dat op dit moment slechts 22% van de Nederlanders positief vertrouwen heeft in het gebruik van algoritmes door verzekeraars.”
"Maak duidelijke werkbare afspraken bij het gebruik van algoritmes"
Risicobeheersing op orde krijgen
In het rapport adviseert de AP terughoudend te zijn met AI-innovaties, zolang de risicobeheersing nog onvoldoende is. Tegelijkertijd is de impact van ChatGPT enorm: iedereen experimenteert met de generatieve AI en dat is niet zonder risico. Niet voor niets was de opkomst groot bij een door het Verbond en Verbondspartner KPMG georganiseerd webinar over dit onderwerp. Stevenson: “De ontwikkeling en de inzet van generatieve AI roepen zowel vragen op in relatie tot de bescherming van persoonsgegevens maar ook over de impact op auteursrechten, consumentenbescherming, transparantie en cybersecurity. Een ander belangrijk risico en tegelijkertijd een open deur”, zo realiseert hij zich, “is dat je niet zondermeer kunt vertrouwen op de juistheid van de uitkomsten. Large language models zoals ChatGPT worden getraind op historische gegevens en gebruiken deze data om output te generen die doorwerkt naar de toekomst. Verouderde gegevens of bias uit het verleden kan zo doorwerken naar de toekomst. De gegenereerde tekst kan plausibel lijken, maar hoeft dat niet te zijn.” Stevenson verwacht dan ook dat datascientists zo’n large language model vooral aantrekkelijk vinden voor bijvoorbeeld het schrijven van een code, om een bepaalde berekening of data-analyse uit te voeren en dit te automatiseren, of om data aan elkaar te koppelen. “De uitkomsten hiervan lijken logisch, en dit zal ook voor gegeneerde code gelden. Maar je kunt daar niet zonder meer vanuit gaan,” zo waarschuwt hij. “Je zal altijd alles moeten controleren.”
Onbedoelde discriminatie
En juist die controle speelt ook een onmisbare rol bij het voorkomen van onbedoelde én onbewuste discriminatie of uitsluiting waarbij een uitkomst plausibel lijkt, maar het dus niet is. Hoe kijkt Stevenson in dat licht naar de recente opmerking van Mark Rutte, die in een ondervraging door de parlementaire enquêtecommissie Fraudebeleid aangaf nog steeds begrip te hebben voor zijn besluit om in 2002 alle gemeentes te vragen extra kritisch te zijn op uitkeringen voor Somalische Nederlanders? “Uiteraard is dat aan de onderzoekscommissie om dit te beoordelen., Algemeen geldt dat vanuit de nieuwe coördinerende algoritmetaak van de AP het voorkomen van discriminatie een prioriteit is.” Hij legt uit dat discriminatie via algoritmes vaak ’onder de radar’ kan ontstaan. Bijvoorbeeld als de discriminatie bewust – maar zonder beleidsmatige grondslag – wordt ingebracht via de modelkalibratie. “Maar het kan ook onbewust ontstaan via een zelflerend algoritme,” zo stelt hij. “Het minste wat ervoor nodig is om dit te voorkomen, is uitgebreid testen en het periodiek uitvoeren van audits. Ook wil je dat een organisatie een mechanisme heeft om snel te corrigeren als discriminatie toch blijkt op te treden. Transparantie is daarbij een belangrijke schakel, het draagt eraan bij dat mensen van buiten de organisatie aan de bel kunnen trekken.” Volgens Stevenson vraagt dit best wel wat van organisaties, maar er lichtzinnig over denken is volgens hem geen optie. “Organisaties moeten voldoende kennis en de juiste interne structuren hebben om überhaupt na te kunnen denken over de inzet van algoritmes. Pas dan kunnen mogelijk negatieve effecten vooraf voorkomen worden, en kan je tegelijkertijd effectief optreden bij onvoorziene effecten: je moet je eigen algoritmegebruik begrijpen om er zinnig op te kunnen ingrijpen.”
Meer weten over verantwoord omgaan met data?
Datamiddag wegens succes herhaald
Na het grote succes van vorig jaar organiseert het Verbond van Verzekeraars in 2023 opnieuw een Datamiddag. Op 5 oktober staan we niet alleen stil bij de razendsnelle ontwikkeling van Privacy Enhancing Techniques en soortgelijke toepassingen. We zetten ook de mogelijkheden op een rij om AI-systemen te ontwikkelen. Systemen die niet alleen voldoen aan de wet, ethische normen en uitlegbaar zijn, maar bovendien helpen om fraude op te sporen. Hoe we dat doen, vertellen we je aan de hand van concrete voorbeelden uit de praktijk. Hier moet je bij zijn, dus meld je snel aan!
Was dit nuttig?